El ratio de exploits se acerca por primera vez al 60%

El número de exploits escritos para atacar vulnerabilidades específicas de las aplicaciones podría ser el mayor de todos los tiempos, según sugiere un informe sobre cifras de amenazas.

El informe Threatscape de Fortinet para el mes de junio, que cubre del 21 de mayo al 20 de junio, revela que de las 108 vulnerabilidades añadidas durante este periodo a sus firewalls con sistema de detección de intrusiones (IDS), 62 estaban siendo explotadas de forma activa. Esto supone un nivel de exploits del 57,4%, un significativo incremento respecto a meses anteriores pero en línea con la tendencia ascendente observada. En abril-mayo el ratio se situó en el 46,6% y en marzo-abril, en el 31,3%.

Entre las diez vulnerabilidades más comunes detectadas por Fortinet, dos están catalogadas como críticas; siete son altas; y una ocupa el nivel medio. La gran mayoría de las vulnerabilidades se aprovechan de agujeros en el software de sobremesa, principalmente, y no tanto del de servidores u otros tipos de equipos.

La cuestión ahora es descubrir el porqué de este aumento, pues algunos de los exploits implican tiempo y programación compleja por parte de los autores de malware. ¿Podría ser que el haber mejorado el tiempo en el que se parchean estos agujeros haya llevado a los escritores de malware a explotar una mayor variedad de vulnerabilidades con la esperanza de encontrar una que tenga un gran éxito? Guillaume Lovet, director del equipo de respuestas ante amenazas de Fortinet cree que no.

“Tengo la sensación de que tiene que ver más con un cambio de estrategia”, apunta Lovet. “Es más una consecuencia del comportamiento de la gente”. En su opinión, lo que ha tenido más influencia es que los métodos de distribución de malware más tradicionales están fallando porque ahora los usuarios son menos propensos a pinchar en archivos adjuntos y enlaces incluidos en correos que antes.

No obstante, todo esto lleva a la conclusión de que es necesario reforzar la protección de los equipos, quizá con software mejor escrito.

fuente: idg.ese

exploit

VULNERABILIDADES. Variaciones en vulnerabilidades que afectan al kernel de Linux.

1-Linux Kernel ‘__scm_destroy()’ Local Denial of Service Vulnerability

exploit disponibles: http://www.securityfocus.com/data/vulnerabilities/exploits/32154.c

2-Linux Kernel ‘net/atm/proc.c’ Local Denial of Service Vulnerability

exploit disponibles: http://www.securityfocus.com/data/vulnerabilities/exploits/32676.c

http://www.securityfocus.com/data/vulnerabilities/exploits/32676-2.c

http://www.securityfocus.com/data/vulnerabilities/exploits/32676-3.c

3-Linux Kernel ‘sendmsg()’ Local Denial of Service Vulnerability

exploit disponibles: http://www.securityfocus.com/data/vulnerabilities/exploits/32154.c

4-Linux Kernel ‘inotify’ Local Privilege Escalation Vulnerability

fuente: securityfocus

linux1

Exploit que aprovecha una vulnerabilidad en Internet Explorer 7

Según advierten desde TrendLabs los ciberdelincuentes están aprovechando activamente una vulnerabilidad crítica de Internet Explorer 7 que permite a un atacante ejecutar remotamente código arbitrario en la máquina vulnerable.

El usuario se infecta a raíz de un email que contiene un archivo .doc que ha sido detectado como XML_DLOADR.A, y el cual contiene un script que contiene un objeto ActiveX que automáticamente accede a una web desde donde se descarga malware detectado por TrendLabs como HTML_DLOADER.AS que infecta el ordenador de la victima.

Este exploit explota la vulnerabilidad CVE-2009-0075 que fue corregida en la última actualización de seguridad de Microsoft(MS09-002), por lo que el exploit sólo afecta a las sistemas que no tenga actualizado su sistema con el último boletín de seguridad de Microsoft.

Los sistema que no estén parcheados pueden verse afectados, por lo que es muy recomendable instalar el parche cuanto antes, lo podéis descargar utilizando la descargar automática de Windows o descargar el parche directamente desde la página de Microsoft.

REFERENCIA: Another Exploit Targets IE7 Bug, by TrendLabs.

fuente: websecurity

internet-explorer

VULNERABILIDAD. ‘libspf2’ DNS TXT Record Handling Remote Buffer Overflow Vulnerability

The ‘libspf2’ library is prone to a remote buffer-overflow vulnerability that stems from a lack of bounds checking when handling specially crafted DNS TXT records.

Remote attackers may exploit this issue to execute arbitrary code in the context of an application using a vulnerable version of the library.

Versions prior to ‘libspf2’ 1.2.8 are affected.

fuente:security focus

REFERENCIA DE LA VULNERABILIDAD

Vulnerabilidad en el G1 Android Google Mobile (by HTC)

Charlie Miller, Mark Daniel, y Jake Honoroff de ISE (Evaluadores Independientes de Seguridad) han identificado y explotado una vulnerabilidad en el sistema operativo del nuevo teléfono Android de Google. El sistema operativo Android, desarrollado por Google, es open source y tiene muchas características diseñadas específicamente para teléfonos celulares, tales como la navegación web, cámara, GPS, acelerómetros y control. El primer teléfono comercial con el sistema operativo Android, el T-Mobile G1 por HTC, (disponible a partir del 22 de octubre de 2008). Estos teléfonos se venden actualmente con la vulnerabilidad lo cual puede pasar a ser un riesgo para la seguridad de sus usuarios hasta que no se saque una actualización del software eliminando este problema.

La vulnerabilidad

Android está basado en más de 80 diferentes paquetes de código open source. Básicamente la vulnerabilidad se debe al hecho de que Google no utiliza las versiones más actualizadas de estos paquetes; en otras palabras, este problema de seguridad en particular que afecta al teléfono G1 era conocido y fue arreglado en el paquete de software, pero Google utiliza una versión vieja que sigue siendo vulnerables, por lo que no se liberara ninguna información adicional sobre la vulnerabilidad o paquete de software hasta que exista una solución disponible.

El impacto

Un usuario con un teléfono Android que utilice el navegador para navegar por la Internet puede ser “explotado” si visita una página maliciosa. Al visitar el sitio web malicioso, el atacante puede ejecutar cualquier código que desee con los privilegios del navegador web de la solicitud.. (existen una gran cantidad de exploit para realizar pruebas de demostración). Este exploit no saldrá a la luz publica hasta que exista una solución disponible.

La arquitectura de seguridad del Android está muy bien construida y el impacto de este ataque será limitado. Un atacante que consiga explotar la vulnerabilidad tendrá acceso a cualquier información que el navegador puede utilizar, tales como cookies utilizadas para acceder a los sitios, la información puesta en aplicaciones web, campos de formulario, contraseñas guardadas, etc También pueden cambiar la forma en que el navegador funciona, engañando así al usuario para que este utilice información sensible. Sin embargo, no puede controlar otro tipo de funciones del teléfono la marcación directa.